Comment les cybercriminels s’introduisent-ils dans les infrastructures des entreprises ? Les cas où, comme dans les films, une clé USB infectée est abandonnée se produisent dans la vie réelle, mais pas si souvent. Au cours des dix dernières années, les principaux canaux de diffusion des menaces ont été le courrier électronique et les sites internet malveillants. Avec le courrier électronique, tout est assez clair : une solution de sécurité avec un moteur anti-phishing et un antivirus correct sur le serveur de messagerie éliminera la plupart des menaces. Cependant, on accorde généralement beaucoup moins d’importance aux menaces web.
Les cybercriminels utilisent depuis longtemps le web pour toutes sortes d’attaques : nous ne parlons pas seulement de pages de phishing qui volent les identifiants des utilisateurs pour les services en ligne, ou de sites malveillants qui exploitent les vulnérabilités des navigateurs. Les attaques avancées visant des cibles spécifiques utilisent également des menaces web.
Les menaces web dans les attaques ciblées
Dans la rétrospective APT 2019 de Securelist, nos experts donnent un exemple d’attaque APT qui utilise la méthode du trou d’eau. Lors de cette attaque, les cybercriminels ont infiltré le site internet du Centre for Land Warfare Studies (CLAWS – Centre d’études sur les guerres terrestres) en Inde et l’ont utilisé pour héberger un document malveillant qui distribuait un cheval de Troie pour accéder au système à distance.
Il y a quelques années, un autre groupe a lancé une attaque de la chaîne d’approvisionnement qui a compromis l’environnement de compilation du développeur d’une application populaire et incorporait un module malveillant dans le produit. L’application infectée, avec sa signature numérique de bonne foi, a été distribuée sur le site web officiel du développeur pendant un mois.
Les cas ci-dessus ne sont pas des cas isolés de mécanismes de menace web déployés dans le cadre d’attaques APT. Nous savons que les cybercriminels étudient les intérêts des employés et leur envoient des liens malveillants ressemblant à des sites web susceptibles de leur plaire. L’ingénierie sociale fait des merveilles lorsque les personnes sont un peu trop confiantes.
Protection intégrée
Il nous semble évident que pour améliorer la protection contre les attaques ciblées, nous devons considérer les menaces web dans le contexte d’autres événements sur le réseau d’entreprise. C’est pourquoi Kaspersky Web Traffic Security 6.1, sorti juste avant la nouvelle année, peut être ajouté à la plateforme Kaspersky Anti-Targeted Attack. Les deux programmes fonctionnent en tandem et se complètent mutuellement, renforçant les défenses globales du réseau.
Il est désormais possible d’établir une communication bidirectionnelle entre la solution protégeant la passerelle web et la solution vous protégeant des menaces ciblées. Tout d’abord, cela permet à l’application basée sur la passerelle d’envoyer des contenus suspects pour une analyse dynamique approfondie. Ensuite, Kaspersky Anti-Targeted Attack dispose désormais d’une source d’information supplémentaire à partir de la passerelle, ce qui permet de détecter plus tôt les composants de fichiers d’une attaque complexe et de bloquer la communication des logiciels malveillants avec les serveurs C&C, perturbant ainsi le scénario d’attaque ciblée.
Dans l’idéal, la protection intégrée peut être mise en œuvre à tous les niveaux. Cela implique la mise en place d’une plateforme de défense contre les menaces ciblées pour recevoir et analyser les données des postes de travail et des serveurs physiques ou virtuels, ainsi que du serveur de messagerie. Si une menace est détectée, les résultats de son analyse peuvent être transmis à Kaspersky Web Traffic Security et utilisés pour bloquer automatiquement des objets similaires (et leurs tentatives de communication avec les serveurs C&C) au niveau de la passerelle.
Rendez-vous sur la page de Kaspersky Web Traffic Security pour plus d’informations sur notre application de protection de la passerelle.